Конкретный пример
Да, я читал форум и понимаю, что ответы на большинство этих вопросов были. Но они рассеяны по всему форуму, и зачастую одна тема противоречит другой...
А хотелось бы получить конкретную, работающую схему для решения задач (если можно, с ссылками на программы):
1) Анонимный веб-серфинг
2) Анонимная работа с почтой + шифрование
3) Анонимное использование ICQ + шифрование (именно ICQ, не Jabber). PGP вроде позволяет шифровать переписку по ICQ, да?
4) Анонимная работа с платёжной системой типа WebMoney или RuPay. Если использовать Web-интерфейс через броузер, завёрнутый в Tor, то этого достаточно?
Мне кажется, эта тема будет полезна многим и её можно прилепить, чтобы новичкам не пришлось долго искать информацию, если они не хотят углубляться в тонкости.
комментариев: 1515 документов: 44 редакций: 5786
Ой, будьте аккуратны, товарисчи...
Ходили ведь слухи, что неких людей именно через WM вычислили...
Да, через тор можно зарегать вебмани. Но их же потом надо обналичивать? Как вы их обналичите анонимно?? Ваши враги в итоге получат доступ к номеру кошелька и будут отслеживать все транзакции с него. А это дополнительная дыра в безопасности (предполагаю для простоты что вы не будете сами пополнять свой же счёт с покупных карточек, ибо тогда ещё +1 дыра в безопасности). По моему скромному мнению, во всех таких системах, самые слабые факторы – это деньги, и сам человек ("забыл, увлёкся, сглючил...." и т.д.).
комментариев: 1515 документов: 44 редакций: 5786
Когда вы используете один и тот же пароль как анонимный юзер на одном сайте и как неанонимный на другом. Когда вами будут заниматься, администраторы хостингов будут занимать сторону ваших врагов, и смогут отследить ваши пароли для их ресурсов (особенно если они передаются открытым текстом). Потом враги будут говорить: так, "вася из соликамска использует пароль nrJ&frb#, а аноним на сайте таком-то – точно такой же пароль. Случайное совпадение маловероятно.... Хорошо, это полезная допинформация для нас, будем внимательно смотреть за Васей, сходим к нему домой, проведуем его... посмотри что у него на жёстком диске лежит..." :)
P. S: я не параноик. Но каждый раз используя одинаковый пароль для разный сайтов я ругаю себя и вспоминаю об этой потенциальной уязвимости.
комментариев: 1515 документов: 44 редакций: 5786
TOR конечно, хорошо, но тормозит и связь неустойчивая :(
Аську нужно юзать через тот же VPN, при этом скрывается ваш IP от сервера аськи, и траффик с сообщениями от провайдера. Если необходимо шифровать содержание переписки от сервера аськи, то нужно юзать плагины для шифрования к альтернативным клиентам, к Миранде, например есть, или Simp Lite-ICQ-AIM. При этом необходимо, чтобы ваши собеседники также пользовались этими плагинами/программами, поскольку нативный icq протокол не поддерживает шифрование.
Для вебмани можно юзать WM Keeper Lite через IE, завернутый в TOR или VPN. Даже не пытайтесь так же сделать с WM Keeper Classic, т.к. как он раскроет ваш реальный IP. Кроме того, если запускать Kepper Classic на одной машине с разными WMID, то WebMoney всегда знают, что они запущены на одной машине, и в случае блокирования одного WMID, могут заблокировать и все остальные. Никогда не запускайте Keeper Classic под виртуальной машиной, это верный путь к блокировке кошелька. Поскольку только Keeper Classic позволяет регистрировать аккаунты, то применяют 2 основных пути решения:
1. Регистрация аккаунта через WM Keeper Classic c выделенного сервера (VDS/VPS) под виндой с удаленным доступом к рабочему столу или с "левого" компьютера через GPRS с "левой" симкой.
2. Более "правильный". Купить готовый аккаунт с персональным аттестатом, возможно уже с АТМ картой, и юзать его через Keeper Lite. Думаю вам не надо обьяснять, где его купить ;) Кстати, в любом случае, для вебмани перс крайне желателен. А вообще, вебмани в последнее время испортилось, не рекомендую держать там значительные суммы.
комментариев: 1515 документов: 44 редакций: 5786
Во-первых TOR, при нормально соеднении с инетом, работает вполне сносно по скорости. Ну, иногда подглючивает. Но в целов вполне нормально.
VPN особо популярен в соответствующих кругах... только давайте учтём, что те круги разбираются в ряде вещей не лучше чем профессионалы. VPN так же плох как и любая связка проксей: она РАСКРУЧИВАЕТСЯ так же, как и накручивается, только в обратом порядке. Никто вам не даст гарантии того, что на сервере VPN не ведутся логи. Никто. Ибо те, кто вам дают VPN находятся на территории некоторой страны, у которой свои законы, и если они не хотят из-за вас лишиться лицензии и прекратить своё существование, то будут сотрудничать с Интерполом. Да, этим занимается именно Интерпол. Сказанное справедливо для любой прокси или их цепочки. До 100 штук вы VPN не увеличите, ибо разоритесь. А штук 5 рекурсивно наура размотают. И даже если они не вели логи, то их "культурно попросят" вести. ФСБ, согласно официальным заявлениям, сотрудничает с 63-мя странами мира. Это к слову о масштабах.
И со многими из этих стран у них заключены договора на госуровне о взаимопомощи при раскрытии правонарушений. Я не видел этого списка стран. И я сомневаюсь, что вы найдёте VPN в стране, которая пошлёт ради вас вон интерпол и свои законы.
комментариев: 11558 документов: 1036 редакций: 4118
Технических препятствий этому нет. Поскольку ОЗУ всегда находится под напряжением, создаётся ЭМ-поле, так что, в итоге, получить нужные данные можно даже без прямого контакта с микросхемой и интерфейсами.
Есть и ещё одна потенциальная уязвимость. Оппонент может считать ключи по электростатическому отпечатку, оставленному в кремниевом чипе ОЗУ длительным хранением одних и тех же данных в одних и тех же его участках (так что противник может просто "забить" на весь этот огород с отключением микрокомпьютера по тревожному паролю и исследовать уже обесточенную технику). Решение здесь: держать в памяти несколько копий ключа, где одна — действительная, а остальные — её модификации, и переключать их через короткие промежутки времени.
комментариев: 11558 документов: 1036 редакций: 4118
Я что-то пропустил? Если не ошибаюсь, раньше можно было зарегистрироваться непосредственно через Keeper Light, получив одновременно сертификат X.509, по которому и проходит в последующем аутентификация в системе. Для меня в связи с этим всегда оставался вопрос, можно ли перенести существующий аккаунт из Keeper Classic в Light? Но, насколько понимаю, регистрироваться можно было одинаково успешно, как через первый, так и через второй.
Обычно в таких случаях используют непрямые схемы, перекидывая по нескольку раз суммы между разными платёжными системами и/или физическими лицами вне их. Но это ведёт с существенному удорожанию обналички за счёт комиссионных и разных прочих удержаний и сборов. Более того, я не уверен, что и такая схема будет достаточно действенна против серьёзного государственного оппонента. В общем, довольно скользкая тема...
комментариев: 1515 документов: 44 редакций: 5786
Вообще, я изначально предполагал, что диск в маленьком компьютере есть, и что истиный ключ, за которым и охотятся, хранится именно на диске, в каком-то из его физических секторов. Но этот истиный ключ зашифрован другим, который хранится уже в оперативной памяти и нигде более не продублирован. Может быть, тогда не так страшны будут отпечатки на чипе...
SATtva, если я вас правильно понял, то технически сейчас спокойно грамотный электронщик сможет снять дамп оперативной памяти? Про удалённый способ я умолчал в силу его куда более сложной технической реализации.
Зарегистрировать точно можно через Keeper Light. Только для получения полноценных прав для операций с деньгами там может понадобиться что-то... (могу быть не прав).
Я не знаю, но исходя из общих соображений, для этого должно быть достаточно переноса ключа аутентификации с Keeper Classic в браузер с Keepr Light (если вообще экспорт ключа в Keeper Classic поддерживатеся).
комментариев: 11558 документов: 1036 редакций: 4118
Но ведь мы тут снова получаем ключ, хранящийся в памяти, и некоторый секрет, зашифрованный им на диске. Можно, конечно, пойти на затуманивание схемы: заполнить весь диск случайными данными и разместить главный секрет в некотором секторе диска, а номер сектора вычислять из хранящегося в памяти ключа по секретному правилу. Но и это не гарантия.
Предположим, оппонент всё-таки извлёк ключ из чипа обесточенного устройства. Тогда он может пробовать расшифровать им содержимое всех секторов, выглядящие случайными данными. Если диск достаточной крупный, на это может уйти довольно много времени, но всё же значительно меньше, чем на перебор самого ключа.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 11558 документов: 1036 редакций: 4118
Вообще приходится прийти к заключению, что если мы поднимаем класс оппонента и при условии действительно высокого риска атаки (при наличии крайне ценной информации, например), становится невозможным обойтись лишь мерами предупреждения, программными средствами и конвенциональной аппаратурой. Все эти методы и средства имеют сущностные ограничения, которые при наличии должных ресурсов всегда могут быть обойдены.
комментариев: 9796 документов: 488 редакций: 5664
В порядке общих рассуждений по поводу вскрываемости устройств рекоммендую "Security Engeneering" от Ross Anderson http://www.cl.cam.ac.uk/~rja14/book.html
Надеюсь в скором времени все хорошие книги будут свободно доступны в сети.
комментариев: 1515 документов: 44 редакций: 5786
у-у-у... как страшно жить :(( ©
А демонстрационные эксперименты были с благополучным восстановлением всей памяти?
Аналогичный интерес имеется и поповоду демонстрационных экспериментов по считыванию данных с шины непосредственно (а) и дистанционно (б). Просто зачастую вопросы о реальной осуществимости и технической различны. Для примера можно вспомнить пресловутый управляемый яд. синтез или квантовые компьютеры. Заметим, что и то и то, якобы возможно по физике... хотя, впрочем, насчёт УТС уже начали сомневаться...
комментариев: 11558 документов: 1036 редакций: 4118
В качестве отступления от темы замечу, что проект термоядерного реактора ИТЭР уже утверждён и будет построен к 2016 году.
комментариев: 1515 документов: 44 редакций: 5786
Да. Дословно про него говорили "он, возможно(!), будет прототипом(!) будущей электростанции. Предполагается, что на нём либо продемонстрируют потенциальную возможность организации УТС либо покажут, что осуществить это невозможно" © наш завкаф после прочтения курса по УТС.